现代网络应用中的同站攻击

原文作者：Marco Squarcina, Mauro Tempesta, Lorenzo Veronese, Stefano Calzavara, Matteo Maffei
原文标题：Can I Take Your Subdomain? Exploring Same-Site Attacks in the Modern Web
原文链接：https://minimalblue.com/data/papers/USENIX21_can_i_take_your_subdomain.pdf
笔记作者：nerd@SecQuan
文章小编：ourren

简介

该文为发表于USENIX 2021的Can I Take Your Subdomain? Exploring Same-Site Attacks in the Modern Web。同站攻击，或者说相关域攻击，其核心在于攻击者控制了Web应用程序的同级域。在过去，由于相关域攻击被认为主要与cookies安全相关，不具有比其他网络威胁更大的破坏力。并且，许多人认为该种攻击难以实现(网站所有者不会将同级域或子域托管给不信任的组织或个人)。因此，学界对相关域攻击的关注较少。但是，作者发现现代网络中存在众多相关域被攻击者接管的情况，并且随着隐私保护策略的更新，相关域攻击对cookie造成的威胁显著高于普通攻击者(例如浏览器默认不允许将本站的cookie向外携带)。在本篇论文中，作者针对相关域攻击者的能力与手法进行细粒度地定义，并且在大量实际应用中评估相关域攻击带来的威胁，并证明相比一般攻击，相关域攻击能够带来一定的额外收益。

方法

首先，作者细化的分析相关域攻击者的多种手段与能力，并将其与实际的网络安全威胁相关联，形成一个细粒度地相关域攻击框架。主要地，作者抽象出四种由于错误配置或滥用DNS而产生的攻击手段，六种攻击能力和可能造成的六种网络威胁。六种攻击能力如下表所示，分别是对不同网络资源的控制能力。为了更好理解论文，下面针对作者总结的攻击手段和网络威胁进行简要说明。攻击手段主要有四种：

• DNS悬空：例如当DNS服务器使用CNAME记录将目标站域名映射到另一个域名时，如果映射域名过期，第三方可以简单地注册域名并在该域下提供任意内容。利用此漏洞的攻击者可以完全控制主机。

• 企业网络与漫游：大型组织通常会为其网络中的设备分配完全限定的域名，使得访问时可以忽略IP变动造成的不变，但这也使得其内部用户具有相关域攻击者的能力。相似的，给用户分配子域名的漫游服务同样会给予用户相关域攻击的部分能力。

• 托管服务与动态DNS：许多服务提供商允许用户在特定子域下创建网站，例如 <username>.github.io。如果其父域github.io不存在于公共后缀列表列表(PSL)中，则会面临相关域攻击的风险。公共后缀列表列举了顶级域名和开放注册的域名，浏览器禁止此列表上的域名被子域名写入Cookie。

• 站点沦陷：相关域中的主机被攻击者控制。

网络威胁主要包括骗取用户信任(子域名可信度高)、绕过浏览器端的各种安全策略、破坏cookie的保密性和完整性、滥用CORS/postMessage/域松弛以获取敏感信息。

为了检测互联网中存在相关域攻击漏洞的站点，作者提出了以下扫描框架。该扫描框架主要聚焦由于DNS悬空导致的相关域攻击。该框架首先从开源数据源(如Censys等)获取DNS解析数据，之后整理成DNS解析链并检查TLS证书字段。在将DNS数据存入数据库后，框架会针对三种情况检查站点是否满足发生DNS悬空的先决条件，该步骤用于发现那些易于收到相关域攻击的站点，缩小评估范围。最后，框架统计了容易遭到相关域攻击的WEB应用数量，并特别针对那些流行的WEB应用，作者从多个角度分析了它们的安全性（cookie、CORS、CSP、postMessage、Domain Relaxation)。

实验

作者使用Tranco公开的域名排行中的前50,000个进行实验，确定了887个具有子域接管漏洞的域名。在887个域名中，大多数漏洞是由于第三方服务截断造成的（由于目标站可能需要通过映射自己的子域名至第三方以获取服务，攻击者可以通过认领目标站子域至自己的第三方服务账户以获取相关域攻击能力）。此外，作者还对站点所能被获取的攻击能力以及普通攻击者和相关域攻击者的差异进行研究，可以看到，攻击者主要通过获取js代码的控制权和在https上控制网站的能力对目标站点进行威胁。相较于普通攻击者，能够绕过部分安全机制的相关域攻击者对WEB应用具有更大的威胁。